Sicherheit für IIS-Webserver: Fünfzehn Tipps

Da so viele Angriffe direkt auf Produkte von Microsoft abzielen, sind IIS-Server einem besonders hohen Risiko ausgesetzt. Aus diesem Wissen heraus muss der Administrator bereit sein, eine Reihe von Sicherheitsmaßnahmen einzuleiten. Dieser Artikel stellt eine Sicherheitscheckliste vor, die beim Serverbetrieb durchaus von Nutzen sein kann.

1. Auf Windows-Updates achten: Die einfachste Sicherheitsmaßnahme besteht darin, alle kritischen Updates und Sicherheitspatches zu installieren. Die Alternative besteht darin, die Aktualisierungen auf einen dedizierten Rechner herunterzuladen und von dort aus auf die Webserver aufzuspielen. Auf diese Weise müssen die Webserver niemals direkt ins Internet gehen.

2. Einsatz des IIS-Lockdown-Tools: Neben seinen attraktiven Vorteilen sind bei diesem Tool auch einige Nachteile zu bemerken; es ist daher mit Vorsicht einzusetzen. Wenn der Webserver mit anderen Servern zusammenarbeitet, sollte man nach dem Ausführen des Lockdown-Tools zunächst überprüfen, ob die Verbindung zu Backend-Diensten nicht beeinträchtigt wurde.

3. Entfernung der Standard-Website: Hacker greifen gerne den Ordner „inetpub“ an und deponieren dort ein paar Überraschungen, die den Server abrupt außer Gefecht setzen. Eine mögliche Gegenmaßnahme besteht darin, die mit IIS installierte Standard-Webseite zu deaktivieren. Wenn dann Surfer über die IP-Adresse (eine Adresse unter den unzähligen IPs, die die Surfer im Lauf des Tages besuchen) auf die Website zugreifen wollen, geht der Versuch ins Leere. Die echte Website sollte auf einen Ordner in einer hinteren Partition mit sicheren NTFS-Zugriffsberechtigungen verweisen (nachstehend mehr zum Thema NTFS).

4. Deinstallation der FTP- und SMTP-Protokolle, wenn sie nicht benötigt werden: Über FTP gelangt man am einfachsten in einen Rechner. FTP wurde für einen unkomplizierten Schreib-/Lese-Zugriff entwickelt. Bei der Implementierung von Authentifizierungsverfahren stellt sich aber schnell heraus, dass Benutzernamen und Passwörter unverschlüsselt über das Internet übertragen werden. Auch SMTP gehört zu den Diensten, die Schreibrechte für ihre Ordner gewähren. Bei Deaktivierung dieser beiden Dienste tun sich Hacker auf der Suche nach „easy fun“ wesentlich schwerer.

5. Die Administratorengruppe und die Liste der aktiven Dienste sollten regelmäßig überprüft werden: Es ist gut möglich, dass sich ein neuer Benutzer in die Administratorengruppe einschleicht. Wer bis hierher ins System vorgedrungen ist, hat meistens irgendwo eine kleine Zeitbombe versteckt, die das System letztendlich zerstören kann oder die ganze Bandbreitenkapazität für Hackerzwecke belegt. Hacker hinterlassen auch gerne einen Hilfsdienst. Ist dies der Fall, bleibt einem wahrscheinlich nichts anderes übrig, als die Festplatte neu zu formatieren und die Serverdaten mit der Sicherungskopie (die täglich erstellt werden sollte) wiederherzustellen. Zur täglichen beziehungsweise wöchentlichen Routine gehört also eine Kontrolle aller Dienste auf dem oder den IIS-Servern, um sicherzustellen, dass möglichst wenige von ihnen aktiv sind. Die gutartigen Dienste sollten festgehalten werden. Das Windows 2000 Resource Kit beinhaltet ein Dienstprogramm namens tlist.exe, das die unter jeder Instanz von svchost laufenden Dienstgruppen aufführt. Die Ausführung dieses Dienstprogramms kann so manchen versteckten Dienst ans Tageslicht bringen. Noch ein Hinweis: Ein Dienst mit dem Namensteil „daemon“ ist höchstwahrscheinlich kein Teil von Windows und sollte sich nicht auf einem IIS-Server befinden. Eine Liste der Windows-Dienste und ihrer Funktionen ist hier zu finden.